Tendencias en Seguridad y Control en Aplicaciones

Anuncio
Tendencias en Seguridad y Control en Aplicaciones
Lucio Augusto Molina Focazzio
Certified information Systems Auditor - CISA
Certified Information Security Manager – CISM
CobiT Accredited Trainer
Consultor en Auditoría de Sistemas y Seguridad de la Información
Agenda
ge da
Introd cción
Introducción
Riesgos en las Aplicaciones
El SDLC y los beneficios de Integrar la Seguridad en el Ciclo
Fases de la seguridad en el Ciclo de Desarrollo de Software
Conclusiones
Agenda
ge da
Riesgos en las
en las
Aplicaciones
p
Vulnerabilidades relacionadas con las Vulnerabilidades
relacionadas con las
aplicaciones
10 Mayores Riesngos para la Seguridad en las Aplicaciones
Injection
Cross‐Site Scripting (XSS)
Broken Authentication and Session
Management
Insecure Direct Object References
Cross‐ Suite Request Forgery (CSRF)
Security Misconfiguration
Insecure Cryptographic Stoprage
Failure to Restrict URL Access
Insufficient Transportt Layer Protection
Unvalidated Redirects and Forwards
Revisión del
Diseño
Requerimientos
De seguridad
g
Requerimientos y casos de uso
Diseño
Análisis de
Riesgos
Revisión del
Código
Plan de Pruebas
Pruebas a la
Seguridad
Códificación
Pruebas de
Penetración
Pruebas
Retroalimentación
Agenda
ge da
El SDLC y los beneficios de El
SDLC l b
fi i d
Integrar la Seguridad en el Ciclo
g
g
Beneficios de Integrar
de Integrar la Seguridad
la Seguridad
en el SDLC
• Identificacion y mitigación
y mitigación oportuna de de
vulnerabilidades y malas configuraciones
• Bajo costo en la implementacion de controles y mitigacion de vulnerabilidades
• Identificacion de servicios de seguridad compartidos
• Estrategias de reuso
de reuso de herramientas
de herramientas para reducir
costos y programaciones
• Mejoramiento
j
de la seguridad
g
mediante el uso de tecnicas y métodos probados
8
Confidential
Beneficios de Integrar
de Integrar la Seguridad
la Seguridad
en el SDLC
• Decisiones informadas a traves
a traves de una
de una adecuada
gestion de riesgos
• Documentacion de la seguridad durante el desarrollo
• Mejoramiento de la confianza de las organizacion y los usuarios para facilitar la adopcion y uso
• Mejoramiento en la interoperabilidad
en la interoperabilidad e integracion
e integracion
que de otra manera podría generar obstáculos
mediante el aseguramiento de los sistemas a varios
niveles
i l
9
Confidential
Agenda
ge da
FFases de la seguridad
d l
id d en el Ciclo
l Ci l
de Desarrollo de Software
Fases del SDLC
del SDLC
•
•
•
•
•
•
•
Inicio y estudio de Factibilidad
Definicion de requerimientos
Diseño Funcional
Diseño técnico y construcción de la solución
Verificación
Implementación
Mantenimiento y Seguimiento
Fases del SDLC “con Seguridad”
•
•
•
•
•
FFase 1. Inicio
1 I i i
Fase 2: Desarrollo / Adquisición
Fase 3: Implementacion / Valoración
Fase 4: Operación
4: Operación / Mantenimiento
/ Mantenimiento
Fase 5: Disposición
NIST SP 800-64
12
Confidential
Integración de Controles dentro del g
Software (CoBiT)
Adquirir e Implementar Soluciones
Identificar Soluciones
Identificar Obj, de control
control relevantes
Adquirir y mantener el Sw
de Aplicación
Diseñar controles de Aplicacion
Adquirir y Mantener la Infraestructura tecnológica
Construir y configurar controles
Establecer la Operación y el Uso
Procurar Recursos de TI
Documenta
r controles y entrenar a
y entrenar a los usuarios
Gestionar cambios
Instalar y Acreditar Soluciones y cambios
Probar y Aprobar los controles
Fase 1. Inicio
1.
2.
3.
4.
Involucramiento de los dueños del negocio
Documentar la Arquitectura Empresarial
Indentificar y especificar las politicas y leyes aplicables
Desarrollar los Objetivos de Confidencialidad, Integridad y Disponibilidad
5. Categorizacion de la Seguridad en los Sistemas de Información y en la Informacion
y en la Informacion
6. Desarrollar especificaciones de Procurement
7 Análisis Preliminar de Riesgos
7.
de Riesgos
14
Confidential
Phase 1: Initiation
Phase 1: Initiation
Relating security considerations
15
Confidential
Fase 2. Adquisición
2 Adquisición / Desarrollo
/ Desarrollo
1. Análisis de Riesgos
2 Seleccion de
2.
de linea
linea base de controles
base de controles de seguridad
de seguridad
3. Refinamiento de las linea base de los controles de seguridad
4. Diseño de los Controles de Seguridad
5 Análisis de Costos
5.
de Costos y reporte
y reporte
6. Planeación de la seguridad
7 Pruebas
7.
P b unitarias
i i y evaluacion
l i de la integración
d l i
ió de d
la seguridad
16
Confidential
Phase 2: Acquisition / Development
q
/
p
Relating security considerations
17
Confidential
Fase 3. Implementación
3 Implementación / Valoración
/ Valoración
1.
2
2.
3.
4
4.
Inspección y aceptacion del Producto /componentes
Ontegracion de los controles
de los controles de seguridad
de seguridad
Guia Administrativa / Usuario
P
Prureba
b a la seguridad
l
id d del Sistema
d l Si t
y plan de l d
evaluacion
5 Certificación del Sistema
5.
del Sistema
6. Determinación del Riesgo residual
7 Acreditación
7.
A di ió de la Seguridad
d l S
id d
18
Confidential
Phase 3: Implementation / Acquisition
p
/ q
Relating security considerations
19
Confidential
Fase 4: Operación
4: Operación / Mantenimiento
/ Mantenimiento
1. Gestión de la Configuración, control de cambios y auditoría
2. Monitoreo Continuo
3. Recertificación
4. Reacreditación
5. Gestión de Incidentes
6. Auditoría
7. Detección y Monitoreo de Intrusos
8. Prueba del Plan de Contingencias (incluyendo plan de 20
Confidential
operacion y continuidad)
Phase 4: Operations / Maintenance
p
/
Relating security considerations
21
Confidential
Fase 5: Disposición
5: Disposición
1. Planeación
l
ó de la Transicion
d l
(
(migracion
d l
del nuevo sistema)
2. Disposición de Componentes
3. Saneamiento de medios
4. Archivo de Informacion asegurando la preservacion de la informacion
de la informacion
22
Confidential
Phase 5: Sunset (Disposition)
( p
)
Relating security considerations
23
Confidential
Agenda
ge da
Conclusiones
C l i
Conclusiones
• El seguimiento al Ciclo de Vida del desarrollo g
de Sistemas incrementa la probabilidad de p y
éxito del proyecto
• Incluir la seguridad durante el SDLC trae economías importantes
economías importantes
• Para incluir la seguridad en la aplicación se combinan estándares y mejores prácticas
combinan estándares y mejores prácticas como ISO 27001, CoBiT, ITIL, NIST y BS25999 Preguntas????
egu tas????
lucio_molina@etb.net.co
GRACIAS
Descargar